Suplantació d’identitat

Què podem fer si es fan passar per nosaltres a les xarxes socials

Suplantar la identitat d’una altra persona a internet és cada vegada més freqüent; tanmateix, aquest delicte no sempre és fàcil d’identificar i de denunciar. Repassem què hem de fer i com ens podem protegir d’aquesta pràctica.
1 Octubre de 2023

Suplantació d’identitat. Què podem fer si es fan passar per nosaltres a les xarxes socials

Facebook, Instagram, YouTube, TikTok, X (abans Twitter)… Les xarxes socials formen part de la nostra vida. A Espanya, 30 milions de persones (el 85% dels internautes d’entre 12 i 74 anys) les fa servir, segons l’últim estudi de xarxes socials elaborat per IAB Spain. Crear un perfil en aquestes plataformes és bastant fàcil: per a obrir-hi un compte en la majoria calen unes poques dades, com el nom i l’adreça electrònic, i cap plataforma sol·licita acreditar la identitat. Això fa que suplantar el perfil d’una altra persona sigui molt fàcil i cada vegada més habitual. Tota la informació que compartim en aquestes plataformes de manera voluntària –fotos, comentaris, contactes…– poden servir als delinqüents per fer-se passar per nosaltres i cometre fraus o enganys, i posar en perill la nostra imatge. Molt sovint, les víctimes ni tan sols som conscients d’aquest robatori d’identitat. Repassem com funciona aquesta mena de pràctiques fraudulentes i oferim diversos consells i recomanacions per protegir-nos.

Com aconsegueixen suplantar la nostra identitat?

La suplantació d’identitat a les xarxes socials consisteix a apropiar-se de la identificació d’una altra persona (o empresa) amb motius malintencionats, amb la finalitat d’obtenir dades o informació confidencial, cometre fraus o enganys, causar algun tipus de dany reputacional, ciberassetjament, extorsió o grooming (abús sexual en línia a un menor). Per fer-ho, els delinqüents poden robar les credencials (usuari i contrasenya) del perfil de la víctima i així prenen el control del compte. Per aconseguir-ho, poden recórrer a diferents tècniques i atacs, com els correus electrònics i comunicacions mitjançant phishing. També és possible que l’atacant opti per crear un perfil fals, amb un compte molt semblant al de la víctima. Per fer-ho, utilitza informació que ha pogut aconseguir fàcilment per internet. En aquest cas, no implica el robatori del compte ni dels accessos.

Com ho podem identificar?

Moltes vegades no som conscients que som víctimes d’una suplantació d’identitat. Per això, és recomanable navegar cada cert temps per les xarxes socials i comprovar si hi ha alguna informació determinada que no ens encaixa o comentaris o publicacions en un compte personal que no hem escrit nosaltres.

Una altra bona opció és crear alertes de Google, on podem incloure algunes dades com el nom i cognoms, adreça electrònica o telèfon mòbil. Aquesta alarma es pot configurar perquè ens avisi cada vegada que s’identifiqui un contingut nou a la xarxa on aparegui alguna d’aquestes referències.

Moltes vegades són els mateixos contactes qui ens avisen que passa alguna cosa: reben missatges estranys, enllaços sospitosos, publicacions que no quadren amb el perfil, la vida o els gustos de la víctima…

En cas de robatori de compte, és més fàcil adonar-se de l’engany perquè el primer pas que solen fer els ciberdelinqüents és canviar la contrasenya d’accés.

Què hi podem fer?

Si som víctimes d’una suplantació d’identitat, hem de seguir els passos següents:

  • Documentar amb proves tot el que ha passat. El millor és recollir còpies dels correus o missatges amb captures de pantalla i revisar els comptes per a comprovar quins han pogut ser afectats.
  • Denunciar (reportar) el perfil fals a la xarxa social.
  • Explicar als contactes el que ha passat. Així evitarem que es converteixin en possibles víctimes.
  • Denunciar els fets en dependències policials.

Com podem eliminar un perfil fals?

És imprescindible contactar amb la xarxa social en qüestió, comunicar el que passa, acreditar la nostra identificació i sol·licitar que es tanqui el perfil fals.

Cada xarxa social té habilitat el seu procediment per fer-ho, que inclou una sèrie de formularis. Si la resposta rebuda per la plataforma no és satisfactòria, el pas següent és elevar una reclamació mitjançant la seu electrònica de l’Agència Espanyola de Protecció de Dades (AEPD), amb la documentació que acredita que s’ha contactat, en primer lloc, amb l’empresa.

  • Facebook. Aquesta xarxa social tan popular té un apartat específic on es detallen els passos que cal seguir per a denunciar un compte suplantat o hackejat, i també per a recuperar-ne el control.
  • Google. Per a informar sobre una suplantació d’identitat a Google, s’ha de facilitar l’adreça electrònica, el nom complet, l’URL del perfil que s’ha suplantat i el DNI o passaport amb fotografia. Una vegada enviat l’informe, la companyia investiga el cas i, si cal, pren les mesures oportunes.
  • X (abans Twitter). Aquesta xarxa permet denunciar suplantacions de comptes per mitjà d’un enllaç específic, on es despleguen diverses opcions: un compte es fa passar per mi; un compte es fa passar per algú a qui estic autoritzat a representar; un compte fingeix ser o representar la meva empresa, marca o organització, o la identitat d’una altra persona està sent suplantada a X (abans Twitter).
  • Instagram. Si algú ha creat un compte fent-se passar per un altre, només cal completar un formulari i proporcionar tota la informació sol·licitada, inclosa una foto del DNI o passaport. Aquesta xarxa social només respon a les denúncies que envien les víctimes de la suplantació o els seus representants, si són menors d’edat. Si es vol denunciar la suplantació de la pàgina d’una empresa, s’hauran d’aportar els documents que acreditin la vulneració dels drets intel·lectuals.
  • TikTok. La xarxa d’origen xinès ofereix un formulari en línia per a denunciar un compte de suplantació d’identitat.

Ho podem evitar?

La seguretat al 100% mai no està garantida, però si seguim una sèrie de recomanacions, podem minimitzar el problema. Per això, és fonamental utilitzar contrasenyes segures i robustes, que combinin caràcters especials, majúscules, minúscules, números… Aquestes claus han de ser diferents i úniques per a cada xarxa social i mai no s’han de compartir amb ningú.

Per dotar els comptes de protecció addicional, es recomana activar la doble verificació per a accedir-hi. El més habitual és que sigui per mitjà d’un SMS al telèfon mòbil, o mitjançant aplicacions com Google Authenticator o Microsoft Authenticator.

També s’ha de limitar tan com es pugui la informació que ofereix l’usuari a les xarxes socials: amb el nom i una fotografia n’hi ha prou. Cal evitar en tot moment la difusió de l’adreça electrònica i el telèfon mòbil.

I si hi ha continguts sexuals o violents?

Quan es publiquen de manera il·legítima continguts especialment greus –com el cas de determinades imatges, vídeos o àudios de caràcter sexual o violent–, no cal contactar primer amb la xarxa social on s’allotgen. L’AEPD ha habilitat un canal prioritari, ràpid i gratuït, on es pot denunciar la publicació il·legítima d’aquests continguts sense el consentiment de la persona afectada.

Només haurem d’exposar el que ha passat i identificar el web o el perfil social on es difon el contingut. Els menors de 18 anys també disposen d’un enllaç on poden denunciar els fets.

Correspon denúncia civil o penal?

A partir de la denúncia, s’inicia el procés judicial contra l’infractor, que podrà ser per la via civil o penal. La suplantació d’identitat no està tipificada com a delicte al Codi Penal. Sí que existeix, però, el delicte d’“usurpació d’estat civil” (article 401), que comporta penes d’entre tres mesos i tres anys de presó. De vegades, aquesta usurpació d’estat civil es pot correspondre amb una suplantació d’identitat a les xarxes socials. El Codi Penal també recull el delicte de vulneració de la imatge, que es pot aplicar a la creació de perfils falsos o a la difusió d’imatges de la víctima. També es pot condemnar el delinqüent per un delicte de descobriment i revelació de secrets, si el jutge considera que ha revelat qüestions íntimes i personals de la víctima. En aquest cas les penes van dels dos anys de presó als cinc. Així mateix, es pot iniciar un procés civil per danys morals.

Ens poden indemnitzar?

La víctima té dret a reclamar una indemnització per danys soferts, sempre que es pugui provar que el fet ha donat lloc a un frau o un delicte. En aquest cas, haurà d’acudir a la via civil. Per fer-ho, és imprescindible identificar el presumpte autor dels fets, mitjançant la Policia o la contractació d’un perit informàtic. La detecció de l’adreça IP facilita la identificació del delinqüent. El jutge determinarà la quantia de la compensació, que pot comportar una indemnització de fins a 20.000 euros.

De què dependrà la sanció?

El tipus de delicte (si és econòmic, de vulneració de l’honor o de la intimitat), el benefici que obté el delinqüent, el temps que suplanta la identitat de la víctima i les possibles reincidències són factors que influeixen a l’hora d’adoptar una sanció o una altra. De tota manera, per a aplicar una condemna penal, s’han de complir aquests requisits:

  • El delinqüent usurpa per complet la identitat de la víctima. És a dir, es fa passar per la persona a la qual enganya, fent servir tota la informació que conforma la seva identitat personal.
  • Es produeix de manera continuada en el temps.
  • L’objectiu és obtenir (o intentar-ho) un benefici econòmic o causar (o intentar causar) un dany a qui ha suplantat la seva identitat.
On es pot denunciar